Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

18-10

Cisco ASA Series

일반적인 작업 CLI 구성 가이드

장 디지털 인증서

디지털 인증서 지침

로컬 CA 인증서 데이터베이스

로컬 CA 인증서 데이터베이스를 유지 관리하려면, 데이터베이스의 변경 사항이 발생할 때마다
write memory

명령을 사용하여 인증서 데이터베이스 파일인 LOCAL-CA-SERVER.cdb를 저장

해야 합니다. 로컬 CA 인증서 데이터베이스에는 다음 파일이 있습니다.

•

LOCAL-CA-SERVER.p12

파일은 로컬 CA 인증서 및 키 쌍의 아카이브로서 로컬 CA 서버가

처음으로 활성화될 때 생성됩니다.

•

LOCAL-CA-SERVER.crl

파일은 실제 CRL입니다.

•

LOCAL-CA-SERVER.ser

파일은 발급된 인증서의 일련 번호를 지속적으로 추적합니다.

추가 지침

•

서버 또는 클라이언트로 구성된 ASA의 경우, 인증서 유효 기한을 권장 종료일인 03:14:08

UTC, 2038

년 1월 19일보다 빠르게 설정합니다. 이 지침은 서드파티 벤더로부터 가져온 인증

서에도 해당됩니다.

•

장애 조치가 활성화된 상태에서는 로컬 CA를 구성할 수 없습니다. 장애 조치 없는 독립형 ASA

에 대해서만 로컬 CA 서버를 구성할 수 있습니다. 자세한 내용은 CSCty43366을 참조하십시오.

•

인증서 등록이 완료되면 ASA는 사용자의 키 쌍과 인증서 체인이 들어 있는 PKCS12 파일을 저

장합니다. 이를 위해 각 등록에서 약 2KB의 플래시 메모리 또는 디스크 공간이 필요합니다. 실

제 디스크 공간 용량은 구성된 RSA 키 크기 및 인증서 필드에 따라 달라집니다. 사용 가능한 플

래시 메모리의 양이 제한된 ASA에서 보류 중인 인증서 등록을 다수 추가할 때 이 점을 염두에

두십시오. 이 PKCS12 파일은 구성된 등록 검색 타임아웃에 도달할 때까지 플래시 메모리에 저

장되기 때문입니다. 크기가 2048 이상인 키를 사용하는 것이 좋습니다.

•

lifetime ca-certificate

명령은 로컬 CA 서버 인증서가 처음 생성될 때(즉, 처음에 로컬 CA 서

버를 구성하고 no shutdown 명령을 실행할 때) 효력을 발휘합니다. CA 인증서가 만료되면,

구성된 수명 값을 사용하여 새 CA 인증서를 생성합니다. 기존 CA 인증서의 수명 값은 변경할

수 없습니다.

•

ASA

에서 관리 인터페이스에 대한 ASDM 트래픽 및 HTTPS 트래픽을 보호하는 데 ID 인증서

를 사용하도록 구성해야 합니다. SCEP로 자동 생성된 ID 인증서는 재부팅할 때마다 다시 생

성되므로, 각자의 ID 인증서를 수동으로 설치해야 합니다. SSL에만 적용되는 이 절차의 예는

다음 URL에서 확인할 수 있습니다.

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008
09fcf91.shtml

•

ASA

와 AnyConnect 클라이언트는 X520Serialnumber 필드(Subject Name의 일련 번호)가

PrintableString

형식인 인증서에 대해서만 유효성 검사를 수행할 수 있습니다. 일련 번호 형

식에서 UTF8과 같은 인코딩을 사용할 경우 인증서 권한 부여가 실패합니다.

•

ASA

에 인증서 매개 변수를 가져올 때 유효한 문자와 값만 사용합니다.

•

와일드카드(*) 기호를 사용하려면 문자열 값에서 이 문자가 허용되는 인코딩을 CA 서버에서

사용해야 합니다. RFC 5280에서 UTF8String 또는 PrintableString 중 하나를 사용하도록 권

장하지만, UTF8String을 사용해야 합니다. PrintableString은 와일드카드를 유효한 문자로 인

식하지 않기 때문입니다. ASA에서는 가져오기 과정에서 유효하지 않은 문자 또는 값이 발견

되면 그 가져온 인증서를 거부합니다. 예를 들면 다음과 같습니다.

ERROR: Failed to parse or verify imported certificate ciscoasa(config)# Read

162*H÷ytes as CA certificate:0U0= \Ivr"phÕV°3é¼þ0 CRYPTO_PKI(make trustedCerts list)

CERT-C: E ../cert-c/source/certlist.c(302): Error #711h

CRYPTO_PKI: Failed to verify the ID certificate using the CA certificate in trustpoint

mm.

CERT-C: E ../cert-c/source/p7contnt.c(169): Error #703h

crypto_certc_pkcs7_extract_certs_and_crls failed (1795):

crypto_certc_pkcs7_extract_certs_and_crls failed

CRYPTO_PKI: status = 1795: failed to verify or insert the cert into storage